«

»

Kurzanleitung für migRaven.one

In der nachfolgenden Übersicht werden die wesentlichen Funktionen von migRaven.one Schritt für Schritt beschrieben. Über einen zugeordneten Link haben Sie die Möglichkeit, sich detaillierte Informationen zu jedem Arbeitsgang anzeigen zu lassen. Anhand eines Redesign-Projekts werden die Schritte vom Einlesen der Berechtigungen eines Shares, über die Bearbeitung der Rechte und die Erstellung der Berechtigungs- und Listgruppen bis zum Schreiben der Gruppen und Verzeichnisse samt Berechtigungen (ACLs) in einen leeren Share dargestellt.

1. Vorbereitung

1.1. Systemvoraussetzungen

migRaven kann auf einem PC oder Server installiert werden. Wichtigste Voraussetzungen sind ein 64bit-Windows, mind. 8 GB Speicher und ein aktuelles 64bit-Java.
Hardware Hauptspeicher: 8 GB besser 16 GB,
Cores: 2 besser 4 Cores
weitere Infos
Software 64bit-Windows,
Java 64bit,
.net Framework 4.6
weitere Infos
migrierbare Systeme Mit migRaven können Berechtigungsstrukturen auf Windows-Servern (2008 oder 20012), DFS, NetApp und EMC migriert werden. Am zu bearbeitenden System müssen Sie als Administrator angemeldet sein. Auch Berechtigungsstrukturen von Novell Netware und Novell OES sind nach Windows migrierbar. weitere Infos

1.2. Komponenten

migRavenInstaller Mit dem Installer werden die Clients und Dienste installiert. weitere Infos
 

Migration Client

 

 

Er ist das Migrationstool, mit dem Berechtigungsmigrationen durchgeführt werden. Beim Scannen der Domänen und von Projektshares werden zahlreiche Informationen gesammelt, wie Objektdaten, Berechtigungen, Verzeichnisstrukturen und Dateigrößen. Die Daten können mit dem Web Client ausgewertet werden.
Bei der ersten Ausführung des Migrations-Clients muss nach dem AD-Scan ein migravenResourcenScanHost installiert werden.
weitere Infos
Web Client Der Web Client bietet zahlreiche Analyse-Funktionen, mit denen die gescannten AD-Daten und Verzeichnis-Informationen ausgewertet werden können. Er ist nicht nur für Administratoren gedacht, sondern auch für Data Owner, also ausgewählte Mitarbeiter aus Fachabteilungen, die Berechtigungen auf die Datenbank-Daten ihres Fachbereichs erhalten. Diese Data Owner können mit dem Web Client die gescannten Daten ihres Fachbereichs analysieren.
Es ist möglich, mehreren Data Ownern mit dem Web Client diese Auswertungen zu ermöglichen.
weitere Infos
Datenbank Sie enthält die gescannten AD- und Projekt-Daten weitere Infos
Datenbankdienst Er koordiniert die den Zugriff auf die Datenbank. weitere Infos
Core-Service Er kontrolliert das Vorhandensein aller notwendigen Dienste und steuert ihre Zusammenarbeit. weitere Infos
AD-Scan-Service Er führt den im Migration Client angestoßenen AD-Scan durch und übergibt die Daten an den Datenbankdienst. weitere Infos
ResourceScanService Er führt den im Migration Client für ein Projekt veranlassten Scan eines Shares oder Verzeichnisses durch und übergibt die Daten an den Datenbankdienst.

Er wird nicht durch den Installer eingerichtet. Er muss im Migration Client angelegt werden. Vorher ist kein Projektstart möglich. Einrichtung unter Konfiguration, Remote Service, Resource Scan Services.

weitere Infos

1.3. Installation

Installation

Automatische Installation der migRaven.one-Komponenten durch den migRavenInstaller

Voraussetzung  IIS Für die Installation des Web Clients ist ein installierter und konfigurierter Internet Information Service erforderlich. Für den IIS sind die Parameter „Statischer Inhalt“, „ASP.NET 4.6“ (oder höher) und „Windows-Authentifizierung“ zu setzen. weitere Infos
HTTP-Aktivierung Ebenfalls für den Web Client ist bei den Windows-Features unter .NET Framework 4.6 Advanced Services“, „WCF-Dienste“ die „HTTP-Aktivierung“ auszuwählen. weitere Infos
Installation Ausgeliefert wird eine migRavenInstall.msi. Mit dieser msi-Datei wird das Installations-programm migRavenInstall.exe installiert. Für das wird ein Icon auf Ihrem Desktop angelegt.

Mit diesem Installer können sie sich die beiden Clients (Migration Client und Web Client), die Datenbank und die notwendigen Dienste (außer ResourceScanService) installieren und starten lassen. Bei der Installation können Sie einen Lizenz-Key anfordern, der Ihnen innerhalb von Sekunden per E-Mail zugeschickt wird.

weitere Infos
IIS migRaven Website Für die migRaven Website ist die Kernelmodus-Authentifizierung im IIS zu deaktivieren. weitere Infos
Testlizenz

 

Zum Testen erhalten Sie eine kostenlose Testlizenz. Bei dieser ist die Nutzungsdauer und die Anzahl der Berechtigungen, die geschrieben werden, beschränkt. Bei fehlender Internetverbindung können Sie eine Offline-Test-Lizenz bei support@aikux.com bestellen. Diese enthält neben dem Key eine Datei, die migRavenConfig.dat, die das Programm bei fehlender Internetverbindung verlangt. weitere Infos
Resource Scan Service Der Resource Scan Service wird im Migration Client angelegt. Der dabei angegebene Account muss in den „Lokalen Sicherheitsrichtlinien“ für das „Anmelden als Dienst“ berechtigt sein. weitere Infos

2. Migration Client

2.1. AD-Scan

Zum Start von migRaven benötigen Sie Administrator-Rechte
AD-Scan

 

 

Beim ersten Programmstart zeigt Ihnen migRaven die gefundenen Domänen. Wählen Sie die zu scannenden Domänen aus (mindestens eine) und starten Sie „Active Directory/Forest einlesen“. migRaven liest Gruppen-, Nutzer-, Computernamen und Mitgliedschaften und speichert sie in der eigenen Datenbank. Dadurch können Sie in migRaven, einerseits wie in einem Sandkasten die Berechtigungen Ihren Vorstellungen entsprechend kreieren und prüfen, und andererseits im AD-View Zusammenhänge dieser Objekte, wie direkte und indirekte Mitgliedschaften, anzeigen lassen.  

weitere Infos

2.2. Konfiguration

GruppenKonfigurationVor dem ersten Projekt-Start müssen die zu erstellenden Berechtigungsgruppen konfiguriert und ein Resource Scan Service installiert werden.  

 

 

 

2.2.1. Gruppenkonfiguration

Type Sie legen den Gruppentyp (domänen lokal, universell oder global) der Berechtigungsgruppen fest und deren Ablageort im AD. Standard-Ablageort ist „MigR“. Die OU wird von migRaven angelegt.
Beispiel:  test.local/MigR
weitere Infos
Name Der Namensaufbau der Berechtigungsgruppen wird konfiguriert. Er kann sich aus Präfix, Gruppentyp, Freigabe-, Verzeichnis-, Servername und einem Rechte-Suffix, alle durch Trennzeichen getrennt, zusammensetzen.
Beispiel: 8M_dl_<Freigabe>_<Verzeichnisse>_<Suffix>
weitere Infos
List-Rechte

 

Es werden die Ebenen unter dem Share, für die Listgruppen angelegt werden sollen, eingestellt. Die Erstellung von Listgruppen kann auch ausgeschaltet werden.
Beispiel: 1 bis 3
bedeutet, dass in den obersten 3 Ebenen unter dem Share Listgruppen angelegt werden, darunter Berechtigungsgruppen mit Listrechten für darunterliegende Berechtigungsendpunkte.
weitere Infos
Rechte Für die Rechte-Suffixe können maximal 4-stellige Kürzel festgelegt werden. weitere Infos
Nach dem Speichern der Konfiguration gelangt man über zweimal „Start“ zum Start-Bildschirm.

2.2.2. Rollen/Accounts

Es sind maximal 8 Rollen für den Web Client vorgesehen, denen Sie differenzierte Rechte zuweisen können. Und jeder Rolle können Sie beliebig viele Accounts zuordnen. Jede Änderung muss in der Kopfzeile mit einem Kommentar und „Save Changes“ abgeschlossen werden. weitere Infos
 Rollen Designer Hier finden Sie 8 Rollen, denen Sie differenzierte Rechte zuweisen können. Der Enterprise Administrator hat alle Rechte.  Infos
 Kontenverwaltung Hier müssen Sie den Rollen Nutzer, also Bereichsadministratoren, zuweisen.  Infos

2.2.3. Remote Services

Hier können Sie Konfiguration und Status der installierten Dienste einsehen. Zentrale Dienste können nur aktualisiert werden. AD- und Resource Scan Services können installiert werden. Vor einem Projektstart muss unbedingt ein „Resource Scan Services“ eingerichtet werden. weitere Infos
Resource Scan Services Dieser Dienst kann nur hier installiert werden. Er muss zumindest einmal vorhanden sein, um Projekte ausführen zu können. Er kann auf mehreren Servern installiert werden. Dieser Dienst wird nicht mit dem lokalen Systemkonto angemeldet, sondern mit dem angegebenen Account. Der Account muss Admin-Rechte auf den Zielpfad haben. Und er muss in den „Lokalen Sicherheitsrichtlinien“  für das „Anmelden als Dienst“ berechtigt sein. weitere Infos

2.3. Projekt-Arten

Projekt-Arten
In migRaven gibt es 4 Projektarten.
G – Gruppen-richtlinien-Projekt Beim GPO-Projekt wird ein Gruppenrichtlinienobjekt erstellt, mit dem der Quellshare neu berechtigt wird. Die Verzeichnisstruktur bleibt unverändert. Diese Projektart ist sehr schnell. Es ist die einzige, bei der die alten Berechtigungen entfernt und durch neue ersetzt werden. weitere Infos
R – Redesign Beim Redesign-Projekt werden die Berechtigungen eines Quellshares gelesen. Die neu erstellten Berechtigungen werden in einen leeren Share geschrieben, dabei kann auch die Verzeichnisstruktur verändert werden. Abschließend müssen die Daten kopiert und Shares ggfs. umbenannt werden. weitere Infos
I – Tabelle importieren Es kann auch in einer Tabellenkalkulation eine Berechtigungsstruktur aufgebaut werden, mit Pfaden, Berechtigungen und berechtigten Nutzern und Gruppen. migRaven liest die xlsx-Datei, bildet Berechtigungs- und Listgruppen und schreibt diese Berechtigungsstruktur in einen leeren Share. weitere Infos
Projekt-Auswahl:
Redesign-Projekt
Für einen Test ist das Redesign-Projekt am besten geeignet. Dafür benötigen wir einen vorhandenen Share (oder Unterverzeichnis eines Shares) mit (nicht zu vielen) Unterverzeichnissen, Berechtigungen und Dateien. Weiterhin benötigen wir einen leeren Share, in den wir zum Schluss das Ergebnis unserer Migration schreiben können.

2.4. Workflow einer Windows-Share-Migration (Redesign)

Workflow-LeisteBei einem Redesign-Projekt werden diese Arbeitsschritte der Reihe nach abgearbeitet. Verbunden damit ist die Erhöhung des Status-Wertes von 0 bis 3.  

 

 

weitere Infos

2.4.1. Projekt-Aufruf und Scannen des Quellpfades

Projekt-Aufruf:

 

Modus

 

 

Der Aufruf erfolgt über das Anklicken des Redesign-Buttons „R“.

Projektbezeichnung: Angabe eines geeigneten Projektnamens.

Standardmodus: Es werden Berechtigungsgruppen entsprechend den Best Practice von Microsoft erstellt. Wenn Sie 8MAN zur täglichen Administration verwenden, dann sollte „Einrichten für die sofortige Verwendung in 8MAN…“ ausgewählt werden.

Projektmodus: Es werden keine zusätzlichen Berechtigungsgruppen angelegt.

weitere Infos
Daten

 

 

 

 

 

 

 

 

Target: DFS oder Einzelner Server: Die Migration kann sowohl für einen normalen Server-Share erfolgen als auch für einen DFS-Share. Quellpfad: Der Quellpfad soll gelesen und migriert werden. Dieser Pfad kann ein Share oder Unterverzeichnis eines Shares sein.  Zum Testen sollte er nicht zu groß sein.
Beispiel:  \\Server\Share1[\unterverzeichnis]                               […] optional. Zielpfad: Tragen Sie hier den endgültigen Zielpfad ein, das kann auch der Quellpfad sein. Der Pfad muss vorhanden sein. Deploy-Pfad: In den Deploy-Pfad wird die von migRaven erstellte Berechtigungsstruktur nach der Migration geschrieben. Es sollte ein leerer Share sein. Der Pfadname kann unter dem Share Unterverzeichnisse enthalten. Der angegebene Deploy-Pfad (Share) muss vor dem Einlesen des Quellpfads angelegt und berechtigt werden. Dieser Share kann abschließend noch umbenannt werden.
Beispiel:   \\Server\Share2[\unterverzeichnis]
Wichtig: Quell- und Deploypfad dürfen nicht identisch sein!
 

 

 

 

 

 

 

 

optional: … Die optionalen Reiter können übergangen werden. Sie ermöglichen die Änderung einiger Parameter, die in der Konfiguration bereits festgelegt wurden.
Zusammenfassung und Start Die Zusammenfassung zeigt nochmal alle gewählten Angaben. Mit „Einlesen starten“ wird der Quellpfad gescannt.

2.4.2. View – visuelle Darstellung der Berechtigungen

View Im View können Sie sich die gelesene Struktur visuell in der Baumstruktur mit allen Verzeichnissen, Berechtigungen, berechtigten Nutzern, Gruppen und Gruppenmitgliedern im Detail anzeigen lassen. Das Projekt hat den Status 0. weitere Infos

2.4.3. Design&Work – Bearbeitung der Berechtigungen

Design&Work

 

Beim Design&Work haben Sie die Möglichkeit, die Berechtigungen Ihren Vorstellungen und Notwendigkeiten entsprechend zu gestalten. Dafür gibt es zwei Modi: den Tabellen- und den Drag&Drop-Modus. Diese Modi können nur in dieser Reihenfolge abgearbeitet werden, erst Tabellenmodus, dann Drag&Drop. weitere Infos

Tabellen-Modus

Rechte-Mapping migRaven arbeitet mit den Rechten „read & execute“, „read & write“, „modify“, „modify plus“ und „full control“. Und diese beziehen sich auf „diesen Ordner, Unterordner und Dateien“. Beim Rechte-Mapping müssen beim Scan gefundene abweichende Rechte auf eins der Standardrechte umgestellt oder ignoriert werden. Weiter mit „Rechte-Mapping speichern„. weitere Infos
Tabelle füllen

 

Es ist vorgesehen, „Nur Verzeichnisse der Ebenen 1 bis 3 zu importieren“. Wollen Sie auch explizite Rechte aus unteren Ebenen übernehmen, können Sie mit dem Schieber links oben den Bereich bis zur 10. Ebene unter dem Quellshare erweitern. Weiter mit „Füllen starten„. weitere Infos
Tabelle bearbeiten

 

 

 

 

 

 

 

 

 

TabellenKopfIn der Tabelle finden Sie alle Verzeichnisse mit expliziten Berechtigungen wieder. Die Berechtigten sind auf die fünf Rechte-Spalten („Read and Execute“, „Write“, „Modify“, „Modify Plus“, „Full Control“) verteilt.

Hier können Sie Pfade hinzufügen, löschen und Berechtigungen ändern. Mehrere Berechtigte in einem Feld werden mit Semikolon getrennt. Pfade ohne Berechtigungen sind in dieser Tabelle nicht zulässig.

In der zweiten Spalte können Vererbungsunterbrechungen festgelegt werden. In der vierten Spalte können Pfade umgelegt werden, auf abweichende Zielverzeichnisse, aber immer unter dem oben angegebenen Quell- bzw. Deploypfad.

Die Richtigkeit der AD-Objekte wird abschießend beim Validieren geprüft. Vor dem „Validieren starten“ sollte das Häkchen bei „Pfade werden auf ihre Existenz hin überprüft“ entfernt werden. In der Status-Spalte angezeigte Fehler müssen behoben werden.

Nach erfolgreicher Validierung folgt die „Speicherung des Arbeitsstandes und die Weiterarbeit im Drag&Drop-Modus“.

 

 

 

 

 

 

 

 

 

 

 

weitere Infos

Drag&Drop-Modus in der Baumstruktur

Drag&Drop

 

 

 

 

 

Drag&DropIm Drag&Drop-Modus werden der „Ausgangszustand“ und der „Sollzustand in Bearbeitung“, beide mit Berechtigungen, gegenübergestellt. Aus dem „Ausgangszustand“ können Verzeichnisse mit der Funktion „Dieses Verzeichnis übernehmen“ aus dem Kontextmenü übernommen werden. Berechtigte werden einfach per Drag&Drop auf das gewünschte Recht gezogen. Im „Sollzustand in Bearbeitung“ können Verzeichnisse angelegt, darauf Berechtigungen vergeben und alles auch gelöscht werden. In der „Zwischenablage“ ist es möglich, Objekte aus dem AD zwischenzuspeichern und später auf im Sollzustand vorgewählte Verzeichnisse in der Spalte „Berechtigungen in Bearbeitung“ zu berechtigen.  

 

 

 

 

weitere Infos

Sollzustand erstellen
und
prüfen
Abgeschlossen wird der „Design&Work“-Modus mit „Sollzustand erstellen“. Das ist das Herz-Stück von migRaven. Es werden die List- und Berechtigungsgruppen erstellt und die berechtigten Nutzer und Gruppen verschachtelt. Dabei werden die von Ihnen in der Gruppenkonfiguration gemachten Vorgaben zum Gruppentyp, zum Aufbau der Gruppennamen und zur Listgruppentiefe realisiert. Sie haben jetzt die Möglichkeit, sich im Sollzustand die geplante Berechtigungsstruktur anzusehen und zu prüfen. Mit „Reset“ können Sie zum „Drag&Drop“-Modus zurückkehren und Korrekturen vornehmen. Mit erfolgreicher Erstellung des Sollzustandes erhält das Projekt den Status 1.  

weitere Infos

2.4.4. Migrations-Ergebnisse schreiben

Deploy Groups

 

 

Erst hier werden Daten in Ihr System zurückgeschrieben. migRaven schreibt die geplanten Berechtigungs- und Listgruppen in die festgelegte AD-OU. Diese OU können Sie jetzt noch ändern. Ist sie nicht vorhanden, wird sie von migRaven angelegt. An diese wird eine OU mit dem Server- bzw. DFS-Namen angehängt, zu der die Berechtigungsgruppen gehören. In diese OU werden die Gruppen geschrieben und die Mitglieder verschachtelt. Nach erfolgreicher Erstellung der Gruppen im AD erhält das Projekt den Status 2. weitere Infos

Deploy ACL

 

 

Der Deploy-Pfad wird angezeigt und ist hier noch korrigierbar. Er sollte leer sein.
Wichtig: Der Deploy-Pfad darf nicht dem Quellpfad entsprechen.
In den Deploy-Pfad werden die Verzeichnisse und Berechtigungen geschrieben. Bei einer Testlizenz ist die Anzahl der geschriebenen Berechtigungen auf 19 begrenzt. Nach erfolgreicher Erstellung der Verzeichnisse und Berechtigungen erhält das Projekt den Status 3.
weitere Infos

Deploy Data

migRaven erstellt ein Script für das Kopieren Ihrer Daten mit Robocopy. Mit diesem Script können Sie Ihre Daten kopieren. weitere Infos
Share-Namen anpassen Zum Schluss müssen die Share-Namen angepasst werden. Oft soll der Deploy-Pfad den Share-Namen des Quellpfades erhalten, um die Links bei den Nutzern nicht ändern zu müssen. weitere Infos

2.5. Reporting

ReportingmigRaven bietet mehrere Report-Funktionen: die Projektstatistik für projektbezogene Informationen, den AD-View für die Auswertung der gescannten Domänen, Report-Generator für die Auswertung aller erfasster Daten mit vorgegebenen Abfragen und die migRaven Report API mit der Programmiersprache Cypher.  

 

 

 

AD-View Im AD-View finden Sie alle Ihre AD-Objekte und Sie können sich die Zusammenhänge zwischen diesen, wie direkte und indirekte Mitgliedschaften, anzeigen lassen. weitere Infos
Projektstatistik Zu jedem Projekt gibt es eine eigene Projektstatistik weitere Infos
Report-Generator

 

Der Report-Generator enthält vordefinierte Abfragen, die ausgewählt und teilweise durch eigene Parameter ergänzt werden. Als Grundlage dienen einerseits das von migRaven gescannte Active Directory und andererseits die durchgeführten Projekte und die dabei gescannten Daten. Die Ergebnisse können in verschiedenen Dateiformaten ausgegeben werden. weitere Infos
migRaven Report API Mit der Abfragesprache Cypher und einem Webbrowser kann die migRaven-Datenbank ausgewertet werden. Die Möglichkeiten gehen weit über die vordefinierten Abfragen hinaus. Dafür ist allerdings ein gewisser Lernaufwand notwendig. weitere Infos

3. Data Owner Client als Web App

WebClient

Mit dem Web Client können Sie die vom Migration Client gesammelten AD- und Projektdaten auswerten.

weitere Infos
Voraussetzungen:

1. Internet Information Services (IIS)

Für die Nutzung der Web Clients ist ein installierter und konfigurierter Internet Information Service erforderlich. Er muss vor der Installation des Web Clients eingerichtet werden. Im IIS sind die Komponenten  „Statischer Inhalt“, „ASP.NET 4.6“ (oder höher) und „Windows-Authentifizierung“ notwendig. weitere Infos
2. migRaven Website Nach der Installation des Web Clients ist für die angelegte „migRaven Website“ die Kernelmodus-Authentifizierung im IIS auszuschalten weitere Infos
Enterprise Administrator Der Enterprise Administrator hat standardmäßig alle Rechte. Er vergibt differenzierte Rechte auf die Data Owner-Rollen und weist Nutzer diesen Rollen zu. Beschrieben unter „Rollen/Accounts“. weitere Infos
Einrichtung von Data Ownern

 

 

Voraussetzungen für die Nutzung des Web Clients durch einen Data Owner sind:

  • Zuweisung von Rechten für die Rolle „Data Owner“ im Migration Client, unter Konfiguration, Rollen/Accounts, Rollen Designer.
  • Namentliche Zuordnung eines Nutzers als Data Owner im Migration Client, unter Konfiguration, Rollen/Accounts, Kontenverwaltung.
  • Innerhalb eines Redesign- oder GPO-Projekts namentliche Zuordnung des Nutzers als Data Owner zu einem Verzeichnis oder Share, dessen Daten er analysieren darf.
weitere Infos

 

 

weitere Infos

 Browser Als Browser empfehlen wir Firefox und Google Crome. MS Internet Explorer und MS Edge sind bedingt geeignet. Beim Firefox ist die NTLM-Authentifizierung zu aktivieren. weitere Infos
 Aufruf Der Aufruf erfolgt im Browser mit http://servername. Die Angabe von IP-Adresse, localhost oder 127.0.0.1 funktionieren nicht. weitere Infos